Всемирный банк Принятие мер в отношении технологических рисков в целях обеспечения успешности инициатив электронного правительства 30 января 2007 года
Обзор § Электронное правительство § Вызовы и ожидания § Управление информационными рисками § Полученные уроки 1
Электронное правительство § Электронное правительствопозволяет использовать информационно-коммуникационные технологии (ИКТ) для обмена информацией и услугами с гражданами, покупателями, предприятиями и другими государственными органами в целях § повышения экономической эффективности § обеспечения удобства § обеспечения доступности. Модели реализации q Государство гражданам/ Государство потребителям (G 2 C) q Государство бизнесу (G 2 B) q Государство государству (G 2 G) Технологии q WWW, E-Mail, система немедленной передачи текстовых сообщений, виртуальные сообщества, RSS, XBRL q PDA, SMS / MMS, 3 G, GPRS q Wi. Fi, Wi. MAX, Bluetooth q RFID, биометрия, смарт-карты q Многие другие 2
Государство гражданам, потребителям и бизнесу (G 2 C, G 2 B) Проведение транзакций/ Реализация прав q. Покупка и оплата продуктов и услуг q. Оплата налогов q. Погашение кредитов q. Электронное голосование Обмен информацией q Финансовая информация q Информация о здравоохранении Представление информации q. Информирование о жалобах, мошенничестве, коррупции или несчастных случаях q. Подача заявления на занятие должности в госслужбе q. Подача заявок на получение грантов и займов q. Онлайновая подача налоговых деклараций Доступ к персонализированной информации q. Регистрация учетной записи пользователя q. Доступ к заявлениям о пособиях q. Просмотр статуса процесса (н-р, получение визы, судебные дела и т. д. ) Доступ к общей информации q. Доступ к информации, предоставляемой государством (законы, правила, НПА, формы, статистика и т. д. ) 3 Другие услуги q. E-mail q. E-обучение, программа для обучения в онлайне (Тайвань) qmy. School предлагает электр. помощь, помогает с выполнением дом. задания, тестирует готовность (Люксембург) q. Услуги знакомств q. Услуги по переписке
Государство государству G 2 G) ( § Совместное использование информации для § Обеспечения удобного и постоянного доступа к своевременной информации § Устранения избыточной информации и проблем с качеством данных § Оптимизация взаимодействия для § Обеспечения возможности взаимодействия сетей и систем § Обеспечения своевременного и точного обмена информацией § Совместное использование процессов и ресурсов § Устранение ненужных функций § Усиление последовательности процессов и процедур. Совместное использование информации q Инициатива E-Vital устанавливает единые электронные процессы для федеральных органов и органов штатов по сбору, обработке, анализу, перепроверке и обмена информацией об официальных записях о смерти. q Geo. Data. gov, обеспечивает возможность более легкого, быстрого и менее дорогостоящего поиска, обмена и доступа к геопространственнымданным на всех уровнях государственного управления. Оптимизация взаимодействия q Disaster Management предоставляет федеральным органам, органам штатов и местным органам по ЧС онлайновый доступ к информации, относящейся к борьбе со стихийными бедствиями, инструментам планирования и реагирования. q SAFECOM служит в качестве зонтичной программы в федеральном правительстве для того, чтобы помочь местным, штатовским и федеральным органам общественной безопасности улучшить меры обеспечения общественной безопасности посредством более эффективной и продуктивной беспроводной связи с возможностью взаимодействия сетей. Совместное использование процессов и ресурсов q Инициатива E-Training для федерального правительства позволяет перевести услуги онлайного обучения из более 40 органов в один. q Инициатива Enterprise Human Resource Integration (EHRI – интеграция ведомственных кадровых ресурсов ) предоставляет руководителям и специалистам кадровых служб информационное хранилище и возможности по планированию и анализу рабочей силы с тем, чтобы можно было точно и эффективно прогнозировать тенденции по уходу на пенсию, продвижению по службе и переназначений на должности. q E-Payroll, благодаря усилиям групп из разных органов продолжает переводить органы от 26 текущих провайдеров к 2 партнерствам по з/п, прогнозируется, что это позволит сэкономит $1, 1 млрд. q Результатом инициативы Integrated Acquisition Environment (IAE ) стал общий единый файл по поставщикам; единое место регистрации поставщиков, что облегчает их работу с федеральным правительством. Source: e. Gov. gov 4
Вызовы и ожидания Заинтересованные стороны § Граждане § Посетители § Регуляторы § Госорганы § Другие Движущие силы § Миссия и цели § Доверие и репутация § Управление активами и капиталом § Расходы и бюджет § Регулирование Вызовы § Информационное неравенство § Объем § Социальные, культурные и образовательные вопросы § Управление затратами § Существующая инфраструктура § Нормативные требования § Старые системы, децентрализация и взаимодействие Ожидания § Обеспечиваемая ценность üНаличие üДоступность üИнфраструктура üНадежность üЭффективное управление üИнновации § Управление расходами üУправление проектами üУправление программами § Управление рисками üКонфиденциальность üБезопасность üЦелостность данных üПриложения üПрайвеси üИдентификация и управление доступом üАварийное реагирование § Содействие изменению üРеализация программ üУправление изменениями üВзаимодействие üКонтроль, мониторинг § Обеспечение соответствия üСоответствие нормативным требованиям üУправление рисками поставщика üМониторинг аутсорсинговых операций Управление – Управление ИТ– Управление рисками ИТ 5
Эффективное управление ИТ § Поддерживает эффективное и продуктивное управление информационными ресурсами (н-р, люди, средства и информация) § Способствует достижению миссии и целей организации § Оценивает и управляет работой информационных систем § Обеспечивает соответствующий контроль за рисками и затратами на ИТ § Управление рисками ИТ § Оценивает риски § Разрабатывает стратегии по снижению рисков § Осуществляет мониторинг рисков 6
Компоненты риска Угроза Контроль Событие, которое может привести к потере Защита, снижает Риск контрмеры использует Отказ аппаратных средств Уязвимость Вероятность Открытость для атаки, ущерба или потери влияет Ресурсы Имеющиеся средства Потеря центра данных Воздействие защищает 7
Процесс управления рисками Цели управления рисками ü Достижение целей организации Принятие риска Избежание риска Ограничение риска Перенос риска Распределение риска Информированность о риске Выявление проблем на раннем этапе Управление ресурсами / затратами ü Защита заинтересованных сторон Определение риска и Снижение риска степени его приоритетности ü Контроль расходов Отчет Эффективное управление Принятие решений Подотчетность Мониторинг Постоянная выверка с : - ситуацией в организации - миссией и целями организации 8
Нормативно-правовая база § Законодательство § § Федеральный закон о финансовой безупречности управляющих (FMFIA) § Федеральный закон об управлении информационной безопасностью (FISMA) § Закон об электронном правительстве § Акт о праве перевода и сохранения медицинского страхования и ответственности (HIPAA) § Акт Грэхема-Лича-Биллея (GLB) § Другие Стандарты и руководства § Рамки § § § Административно§ COSO бюджетное управление § COBIT (OMB) § ITIL Национальный институт § ISO стандартов и технологий § Другие (NIST) Другие Приводит к …. Ø Обширному комплексу прописанных требований к информационной безопасности и мерам по ее обеспечению (и вариантов) Ø Различным требованиям к отчетности Ø Наличию различных владельцев и заинтересованных сторон Требует… q Концентрирования на риске с точки зрения организации для привязки ресурсов к рискам q Координации среди задействованных сторон q Обмена информации о риске q Управления изменениями 9
Требования к контролю § Нормативные требования § Бизнес-требования Определяют требования в отношении …. . § Конфиденциальности § Ожидания заинтересованных сторон § Целостности § Присущий риск § Наличия Которые определяют цели контроля в …. § Процессе управления ИТ § ИТ инфраструктуре§ Процессе деятельности § Планирование и организация § Центры данных § Инициирование § ТО и приобретение § Сети § Санкционирование § Поставка и сопровождение § § Учет § Мониторинг Операционные системы § Обработка Базы данных § Отчетность § Для определения или оценки мер необходимо увязать эти компоненты 10
Связывание ресурсов Данные Критерии Процесс деятельности Платформы ЛВС Инфраструктура АБД Технология ГВС Системы Приложение • Конфиденциальность • Наличие • Целостность Функции Функциональный владелец Разработчики программ Люди Процессы Пользователи Аудит Юридический Безопасность Транзакции Организация обработки Закупки Наличие Заказ Целостность процесс Конфиденциальнос ть Под Люди Менеджер программы Данны е Приложен ие База данных Операцио нная система Телеко ммуник ации Объект Товары Ariba Oracle Unix People. Soft T-1 Dedicated Объект 1 Цена Специалист по контрактам 11
Подход базовых мер Анализ угроз и уязвимости Меры Предо сторож ности Перечень угроз Подход базовых мер Уязвимость База Ресурс Угроза Уязвимость Риск Аппаратные средства Огонь Отсутствие системы пожаротушения Потеря аппаратных средств Данные Вирус Отсутствие антивирусного ПО Пробел в мерах Меры Потеря данных Цель меры Методика Пробел Риск Аппаратные средства защищены от вредного воздействия окружающей среды Установлена система пожаротушения Установлена только система пожаротушения. Имеются ручные огнетушители, а персонал не обучен. Потеря аппаратных средств Антивирусное ПО не установлено. Потеря данных Установлена система обнаружения пожара Персонал обучен соответствующим образом Система защищена от программных средств, нарушающих нормальную работу системы Установлено антивирусное ПО 12
Цели мер § Меры § На уровне § Автоматизированные § Профилактика организации § Неавтоматизированные Выявление § § На уровне инфраструктуры § Смешанные § На уровне транзакций § Приоритизация мер § Акцент на меры, которые охватывают ключевые цели § Рационализация мер § Рассмотрение мер, которые охватывают несколько целей § Автоматизация мер § Оптимизация использования автоматизированных мер 13
Жизненный цикл мер Разработка Ø Ø Улучшение Апробация Ø Реализация Мониторинг Ø Ø На разработку мер не обращается основное внимание при реализации новых систем Зачастую приходится подгонять меры в ретроспективном порядке в целях удовлетворения потребностей деятельности и по обеспечению соблюдения требований Отсутствие связи между приложением и неавтоматизированными мерами Меры не задокументированы должным образом Меры оцениваются по различным причинам Зачастую очевидна взаимозависимость мер Неполное использование автоматизации мер и технологий мониторинга Оценка Отчетность Ø Процесс отчетности не построен таким образом, чтобы удовлетворять потребности всех заинтересованных сторон 14
Рассмотрение рисков– Инициирование новых систем ü Указаны ли требования по управлению рисками и нормативные требования в Техническом задании? ü Имеет ли место соответствующий надзор за исполнением контракта для обеспечения выполнения условия контракта? ü Четко ли определены и распределены меры по снижению рисков и обеспечению соответствия требованиям? ü Включает ли документация систем и процессов документирование мер? ü Подлежат ли меры анализу на предмет эффективности их разработки? ü Полностью ли используются ли характеристики мер в системах? ü Увязаны ли неавтоматизированные меры в процессах деятельности с автоматизированными мерами, обеспечиваемые системой для предотвращения пробелов и дублирования? ü Имеются ли меры для поддержания положения во время замены системы? ü Регулярно ли тестируются меры с целью оценки эффективности их работы? ü Имеются ли возможности для обеспечения современности документации? ü Везде ли соблюдаются стандартные процессы и конфигурации? ü …… 15
Вызовы в сфере управления рисками § § § § § Определение ресурсов в условиях децентрализации Связь между информационной инфраструктурой, приложениями и бизнес-процессами Связь между организационными, эксплуатационными и техническими мерами Рассмотрение процессов, отданных в аутсорсинг, включая разработку и эксплуатацию Рассмотрение оценки рисков как требования по обеспечению соблюдения норм, нежели как управленческой функции Сложность нормативных требований Динамика в развитии технологий и потребностей Координация деятельности по оценке Документирование и представление результатов оценки Эти вызовы могут привести к тому, что риски будут оцениваться: Ø В вакууме и фрагментарно, без привязки к миссии организации Ø На определенный момент времени, а не в течение времени 16
Определение рамок Соразвитие Цели и задачи Внутренний аудит Распределение по времени Основные этапы Рискменеджер Исполнительное руководство Состав группы Инструменты Заказчик проекта Отчетность Критерии информации 17 Подход и методология
Подходы к оценке рисков Количественная Качественная Оценка На определенный момент База Распределение по времени Подходы Определение Угроза Уязвимость Постоянная Группа Самооценка Независимая 18 Совместная
Культура управления рисками Процесс управления рисками Специальный Ответный Восходящий Изолированный Фрагментарный Неформальный Неоднократный Измеримый Утвержденный Постоянный По всей организации Увязанный с целями организации Нисходящий Движущий фактор Ошибки Отказы Аудит Требование законодательства Нормативные требования Отдельные инициативы 19 Цели организации Культура риска
Программа управления рисками– Полученные уроки § Организация и подотчетность § Прояснение и распределение обязанностей между разными функциями (руководство организации, руководство программы, руководство по ИТ, внутреннее рассмотрение, Генеральный инспектор и т. д. ) § Связывание децентрализованной деятельности с общеведомственными рамками § Планирование сверху-вниз § Отчетность сверху-вниз Содействие координации между разными функциями по управлению рисками § § Эффективное управление ИТ § Комплексные составы групп по рассмотрению стратегии, инвестиций, риска и т. д. § Увязка усилий по управлению рисками с потребностями организации 20
Программа управления рисками– Полученные уроки § Внедрение культуры управления рисками § Задание тона наверху § Информированность § Обучение § Политика и процедуры § Документирование политики и процедур по управлению рисками § Стандарты и практика § Протоколы взаимодействия и требования ук отчетности 21
Программа управления рисками– Полученные уроки § Кадровое обеспечение § Набор навыков § Способности § Обучение § § Единый язык Стандартизированный подход § Технология § § Документирование процессов, мер контроля и оценок Автоматизация мер / мониторинг мер 22
Программа управления рисками– Полученные уроки § Показатели эффективности § Определение показателей эффективности для оценки усилий по управлению рисками § Мониторинг § § Постоянный мониторинг деятельности по управлению рисками и ее результатов Структура отчетности, подотчетность 23
Заключение Деятельность по управлению рисками, осознанно или неосознанно, проводится различными функциями в организациями. Связывание этих усилий посредством координации и взаимодействия чрезвычайно повышает эффективность всей программы по управлению рисками. 24
Контактная информация: Вернер Липпунер Ernst & Young LLP Washington, D. C. 202 -327 -8389 Werner. Lippuner@ey. com ERNST & YOUNG LLP © 2007 Ernst & Young LLP. All Rights Reserved. 25 Ernst & Young is a registered trademark. www. ey. com
Скачать презентацию Всемирный банк Принятие мер в отношении технологических рисков
1fc969f998e4a959fcea6436b81af9c7.ppt